To the Point:
Rechtsprechung des EGMR
EGMR 13.02.2025, 51409/19, Macharik/Tschechien
Schutz der Kommunikation, faires Verfahren
- Mit richterlichem Beschluss kam es zu einer Offenlegung von
Kommunikationsdaten aus der Mailbox eines Unternehmens. Dadurch
konnten die E-Mail-Kommunikation und deren Inhalte einer mit dem
Unternehmen in Kontakt stehenden Beschuldigten erlangt werden. Die
E-Mail-Kommunikation diente als Hauptbeweismittel im gegen die
Beschuldigte eingeleiteten Verfahren, in dem sie verurteilt wurde.
Im Verfahren beantragte sie erfolglos die Entfernung der
E-Mail-Kommunikation aus den Verfahrensakten, weil diese
Nachrichten keine Kommunikationsdaten iSd im Beschluss
angeführten Gesetzes seien. Die angerufenen innerstaatlichen
Gerichte erachteten die Verwertung der E-Mail-Kommunikation als
Beweismittel unter Heranziehung unterschiedlicher
Gesetzesbestimmungen für rechtmäßig. Die
Beschuldigte wendete sich an den EGMR und monierte eine Verletzung
ihres Rechts auf Achtung des Privat- und Familienlebens
gemäß Art 8 EMRK sowie des Rechts auf ein faires
Verfahren gemäß Art 6 EMRK. Darüber hinaus
machte sie Schaden- und Aufwandersatz geltend. Der EGMR
bestätigte die Verletzung von Art 8 EMRK, lehnte aber das
Begehren auf Schadenersatz ab und sprach einen Teil des
Aufwandersatzes iHv EUR 2.500 zu. Der
EGMR hat erwogen: Die Vertraulichkeit jeglicher privaten und beruflichen Korrespondenz wird von Art 8 EMRK umfasst. Ein Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Das Gesetz und etwaige Ermessensspielräume müssen hinreichend klar und nachvollziehbar formuliert sein. Die Sichtung von beruflichen E-Mails ist ein geringerer Eingriff in Art 8 EMRK als die Einsichtnahme in eine private Mailbox.
Die innerstaatlichen Gerichte zogen drei Normen als potenzielle Rechtfertigung für den Eingriff in das Grundrecht heran, wobei die von den letztinstanzlichen Gerichten herangezogene Norm zum Zeitpunkt des Eingriffs in dieser Form noch nicht in Kraft war. Die Speicherung und Herausgabe der Kommunikation war nach den genannten innerstaatlichen Bestimmungen nicht erlaubt. Die Anwendung der Bestimmungen erfolgte durch die Gerichte in einer nicht nachvollziehbaren Weise. Der Eingriff in das Grundrecht war daher weder vorhersehbar noch gesetzlich vorgesehen. Die Verwendung von unzulässig erhobenen Beweisen ist keine Verletzung des Rechts auf ein faires Verfahren, wenn der Eingriff nur geringfügig ist und Verteidigungsrechte sonst beachtet werden.
Den geltend gemachten Schadenersatz für die im Strafverfahren auferlegte Geldstrafe lehnte der EGMR mangels Kausalität zwischen der festgestellten Verletzung und dem geltend gemachten Schaden ab. Immateriellen Schadenersatz lehnte der EGMR ab, weil die Feststellung einer Grundrechtsverletzung eine ausreichende Entschädigung sei.
Rechtsprechung des EuGH
EuGH 13.02.2025, C-383/23, ILVA
Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit
- Das dänische Tochterunternehmen eines Konzerns speicherte
zwischen Mai 2018 und Januar 2019 unrechtmäßig
personenbezogene Daten von mindestens 350.000 ehemaligen
Kunden. In Dänemark werden Geldbußen nicht von der
Datenschutz-Aufsichtsbehörde verhängt, sondern auf
Empfehlung der Aufsichtsbehörde von der Staatsanwaltschaft
beim zuständigen Gericht beantragt. Die dänische
Staatsanwaltschaft beantragte bemessen am Konzernumsatz eine
Geldbuße iHv rund EUR 201.000. Das Erstgericht
verhängte jedoch eine am Umsatz des Tochterunternehmens
bemessene Geldbuße iHv rund EUR 13.400. Die
Staatsanwaltschaft legte Berufung ein, weshalb das vorlegende
Gericht den EuGH zur Auslegung des Begriffs "Unternehmen"
in Art 83 Abs 4 bis 6 DSGVO befragte.
Der EuGH hat erwogen: ErwGr 150 DSGVO verweist iZm der Berechnung von Geldbußen nach Art 83 Abs 4 bis 6 DSGVO auf den Begriff "Unternehmen" iSd Art 101 und 102 AEUV. Dieser Unternehmensbegriff umfasst jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und Finanzierungsart.
Nach Art 83 Abs 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass Geldbußen nach Abs 4 bis 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Art 83 Abs 2 DSGVO verlangt zudem, dass die zuständige Aufsichtsbehörde bei der Entscheidung über das Verhängen einer Geldbuße eine Reihe von Kriterien (ua Art, die Schwere und die Dauer des Verstoßes) berücksichtigt.
Diese Kriterien verweisen zwar nicht auf den Unternehmensbegriff iSd Art 101 und 102 AEUV, doch eine Geldbuße ist nur dann wirksam, verhältnismäßig und abschreckend, wenn sie nicht nur diese Kriterien, sondern auch die materielle Leistungsfähigkeit des Adressaten berücksichtigt. Daher ist zu prüfen, ob der Adressat einem Unternehmen iSd Art 101 und 102 AEUV angehört.
In bestimmten nationalen Rechtsordnungen, etwa der Dänemarks, sind keine Geldbußen vorgesehen. Gemäß Art 83 Abs 9 DSGVO kann in diesen Fällen die zuständige Aufsichtsbehörde die Geldbuße in die Wege leiten, während die nationalen Gerichte sie verhängen.
Gemäß Art 83 DSGVO müssen die zuständigen Aufsichtsbehörden sicherstellen, dass bei der Berechnung der tatsächlichen Höhe der verhängten Geldbuße der Grundsatz der Verhältnismäßigkeit beachtet wird. Dies geschieht durch einen angemessenen Ausgleich zwischen dem allgemeinen Interesse am Schutz personenbezogener Daten und den Rechten des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, dem diese angehören.
Auch wenn Verstöße gegen die DSGVO nicht mit administrativen, sondern mit von Strafgerichten verhängten Geldbußen geahndet werden, steht einer Anwendung des Begriffs "Unternehmen" iSd Art 101 und 102 AEUV im Rahmen von Art 83 Abs 4 bis 6 DSGVO nichts entgegen.
Der Höchstbetrag einer Geldbuße gegen einen Verantwortlichen, der ein Unternehmen ist oder einem Unternehmen angehört, wird auf Basis eines Prozentsatzes des weltweiten Konzernumsatzes berechnet. Der Konzernumsatz ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen. Dadurch wird überprüft, ob die Geldbuße wirksam, verhältnismäßig und abschreckend ist.
EuGH 13.02.2025, C-612/23, Verbraucherzentrale Berlin
Telekommunikation, Mindestvertragslaufzeit
- Eine Verbraucherzentrale erhob
eine Unterlassungsklage gegen
einen Telekomanbieter wegen
deren Geschäftspraxis, die es
Bestandskunden ermöglichte, vor Ablauf ihrer Erstverträge
neue Folgeverträge mit einer Mindestlaufzeit von
24 Monaten abzuschließen. Die verbleibende
Vertragslaufzeit der Erstverträge wurde dem neuen Vertrag
hinzugerechnet. Nach Ansicht der Verbraucherzentrale verstieß
dies gegen Art 30 der UniversaldienstRL,
nach der keine anfängliche Mindestvertragslaufzeit von mehr
als 24 Monaten vereinbart werden darf. Das vorlegende Gericht
fragte den EuGH, ob der Begriff "anfängliche
Mindestvertragslaufzeit" auch auf
Verlängerungsverträge anzuwenden sei, was der EuGH
bejahte.
Der EuGH hat erwogen: Die UniversaldienstRL ist in der Zwischenzeit durch den europäischen Kodex für die elektronische Kommunikation (EKEK; Richtlinie [EU] 2018/1972) aufgehoben worden. Auf den Ausgangssachverhalt ist aber noch die UniversaldienstRL anzuwenden.
Art 30 Abs 5 UniversaldienstRL bestimmte, dass Verträge zwischen Verbrauchern und Unternehmen, die elektronische Kommunikationsdienste erbringen, keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten beinhalten dürfen. Der Begriff "anfängliche Mindestvertragslaufzeit" bezieht sich sowohl auf die Laufzeit des Erstvertrags als auch auf die Laufzeit eines Folgevertrags zwischen denselben Parteien. Ein Folgevertrag darf keine Mindestvertragslaufzeit von mehr als 24 Monaten haben, auch wenn er vor Ablauf des Erstvertrags unterzeichnet und in Vollzug gesetzt wurde.
Die Festlegung zumutbarer Mindestlaufzeiten in Verbraucherverträgen ist nicht ausgeschlossen, darf aber nicht mehr als 24 Monate betragen. Der Unionsgesetzgeber wollte keine Unterscheidung zwischen Erst- und Folgeverträgen treffen. Ein Vergleich der Sprachfassungen der UniversaldienstRL bestätigt diese Auslegung. Der Schutz der Verbraucher war zentrales Ziel dieser RL und dieser darf nicht geringer sein, wenn ein Verbraucher Änderungen eines Vertrags mit einem Anbieter zustimmt, als wenn er erstmals eine Bindung mit einem neuen Anbieter eingeht. Dies gilt insbesondere, wenn der Folgevertrag wesentliche Änderungen gegenüber dem Erstvertrag enthält, wie etwa Preisgestaltung oder Leistungsinhalt.
Rechtsprechung der VwGH
- Die Anordnung des Art 7 Abs 3
DSGVO, dass der Widerruf so
einfach sein müsse, wie die Erteilung der Einwilligung zur
Verarbeitung personenbezogener Daten, ist nicht weiter
auslegungsbedürftig. Die Frage, wie
ein Cookie-Banner zu gestalten ist, ist
jeweils anhand der für
den Einzelfall maßgeblichen
Umstände zu prüfen, weshalb diese
Frage nicht revisibel ist (VwGH 16.01.2025, Ra 2024/04/0424).
- Gegenstand des Auskunftsverfahrens ist die Verletzung der Auskunftspflicht aufgrund eines bestimmten Auskunftsersuchens. Die Rechtswirksamkeit des Auskunftsersuchens ist somit Voraussetzung für eine Verletzung der Auskunftspflicht. Eine Nachholung des den Beschwerdegegenstand bildenden Auskunftsersuchens erst im datenschutzrechtlichen Verfahren ist nicht möglich, weil es sich bei der Stellung eines rechtswirksamen Auskunftsersuchens um die tatbestandsmäßige Voraussetzung dafür handelt, dass die (potenziell) Betroffene überhaupt in ihrem Recht verletzt werden konnte. Durch diese Sichtweise entsteht kein Rechtsschutznachteil, weil jede (potenziell) Betroffene grundsätzlich jederzeit ein neues Auskunftsersuchen an den Verantwortlichen richten kann (VwGH 10.12.2024, Ra 2022/04/0107).
Rechtsprechung der Justiz
- Die Behandlung
von Erneuerungsanträgen in
Strafverfahren ist auf die Prüfung der Verletzung eines Rechts
nach der EMRK oder ihrer Zusatzprotokolle beschränkt. Die
Bestimmungen des § 110 Abs 1 Z 1 und Abs 2
StPO sowie des § 111 Abs 2 StPO
zur Mobiltelefonauswertung wurden mit
Erkenntnis des VfGH als verfassungswidrig wegen Verstoßes
gegen § 1 Abs 2 DSG iVm Art 8 Abs 2 EMRK
aufgehoben. Wie der VfGH ausgesprochen hat, blieben diese
aufgehobenen Bestimmungen jedoch aufgrund der gemäß
Art 140 Abs 5 B-VG gesetzten Frist bis zum Ablauf des
31.12.2024 in Kraft. Sie waren daher zum Zeitpunkt der Entscheidung
durch das Berufungsgericht anzuwenden (OGH 22.01.2025, 13Os105/24a).
- Die DSGVO gibt keine bestimmte Form für den Identitätsnachweis im Rahmen eines Auskunftsersuchens vor. Auch eine in diesem Zusammenhang erteilte Vollmacht muss daher nicht handschriftlich iSd § 886 ABGB sein. Bestehen begründete Zweifel an der Identität oder Vollmacht, muss der Verantwortliche dem Betroffenen seine konkreten Bedenken mitteilen. Die pauschale Ablehnung der Auskunft ist unzulässig (OLG Linz 06.02.2025, 6R10/25w).
Rechtsprechung des BVwG
BVwG 13.01.2025, W137 2304495-1
Video, Servitut, Datenminimierung
- Zwei Grundstückseigentümer installierten eine
Videokamera am Hauseingang, die auch einen Teil des von den
Servitutsberechtigten genutzten Geh- und Fahrtwegbereich erfasste.
Die Servitutsberechtigten erachteten sich in ihrem Recht auf
Geheimhaltung verletzt und erhoben Datenschutzbeschwerde bei der
DSB. Diese gab der Datenschutzbeschwerde statt und trug den
Grundstückseigentümern auf, den Aufnahmebereich so
einzuschränken, dass der Geh- und Fahrtwegbereich nicht mehr
zu sehen ist. Gegen diesen Bescheid erhoben die
Grundstückseigentümer (erfolglose) Bescheidbeschwerde an
das BVwG.
Das BVwG hat erwogen: Der Zweck der Videoüberwachung besteht grundsätzlich darin, das Grundstück der Grundstückseigentümer zu überwachen und ist als solcher berechtigt. Zwar besteht für die Grundstückseigentümer ein berechtigtes Interesse am Schutz ihres Eigentums iSd Art 6 Abs 1 lit f DSGVO, allerdings überwiegt das Interesse der Servitutsberechtigten am Schutz ihres Privat- und Familienlebens bei der zweckmäßigen Nutzung ihrer Servitut.
Zudem haben die Grundstückseigentümer gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO verstoßen, weil der Schutz ihres Eigentums auch dann erreicht werden könnte, wenn die Videokamera so positioniert wäre, dass diese nur den Eingangsbereich ihres Hauses überwacht.
Aus der weiteren Rechtsprechung des BVwG:
- Bestimmt die DSB irrtümlich den
falschen Beschwerdegegner als
Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein
Sachverhalt sowohl von einem Betroffenen als auch von der DSB
aufgegriffen, um in einem Verfahren überprüft zu werden,
führt dies zu keiner res
iudicata (BVwG 10.01.2025,
W252 2271738-1).
- Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 10.01.2025, W291 2261757-1; 22.01.2025, W108 2288262-1).
EU-Rechtsakte
- Am 13.02.2025 wurde die
"Delegierte Verordnung (EU) 2025/295 der Kommission vom
24. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554
des Europäischen Parlaments und des Rates durch technische
Regulierungsstandards zur Harmonisierung der Bedingungen für
die Durchführung von
Überwachungstätigkeiten", ABl L 2025/295, 1, kundgemacht.
Mit dieser DelegiertenVO ergänzt die Kommission die
"VO (EU) 2022/2554 des Europäischen Parlaments und
des Rates vom 14. Dezember 2022 über die digitale operationale
Resilienz im Finanzsektor ..." (kurz: DORA) und legt fest, welche
Informationen
sog IKT-Drittdienstleister zur
Verfügung zu stellen haben.
- Zur Ergänzung der "VO (EU) 2023/1114 des
Europäischen Parlaments und des Rates vom 31. Mai 2023
über Märkte für
Kryptowerte..." (kurz: MiCAR) erließ die
Kommission fünf Delegierte Verordnungen.
Am 13.02.2025 wurden die DelegierteVO
(EU) 2025/292, ABl L 2025/292, 1; DelegierteVO
(EU) 2025/296, ABl L 2025/296, 1; DelegierteVO
(EU) 2025/297, ABl L 2025/297, 1; DelegierteVO
(EU) 2025/298; ABl L 2025/298, 1; DelegierteVO
(EU) 2025/299, ABl L 2025/299, 1, kundgemacht.
Ergänzt wird die MiCAR durch mehrere technische
Regulierungsstandards.
Nationale Rechtsakte
- Am 10.02.2025 wurde
das FATF-Prüfungsanpassungsgesetz 2024, BGBl I 2025/5, kundgemacht. Mit dem
FATF-Prüfungsanpassungsgesetz wurde
das Sanktionengesetz 2024 erlassen
sowie ua das BWG, das FMABG und das KontRegG novelliert. Geregelt
wird ua die Verarbeitung personenbezogener Daten durch die
zuständigen Behörden zur Umsetzung von
Sanktionsmaßnahmen.
- Am 14.02.2024 wurde die "Verordnung des Bundesministers für Kunst, Kultur, öffentlichen Dienst und Sport, mit der die BMKÖS-Datenaufbewahrungsverordnung geändert wird", BGBl II 2025/18, kundgemacht. Mit dieser V werden bestimmte Aufbewahrungspflichten bei der Verarbeitung der Daten von Beamten im Vergleich zu den Regelungen des § 280a BDG herab- oder heraufgesetzt.
Vorschau EuGH-Rechtsprechung
- Am 27.02.2025 wird
das Urteil des EuGH in
der Rs C-203/22, Dun & Bradstreet
Austria, verkündet. Der EuGH wird entscheiden, in
welchem Umfang
eine Auskunft gemäß
Art 15 Abs 1 lit h
DSGVO (automatisierte Entscheidung) zu erteilen
ist. Anm: Die Zusammenfassung der Schlussanträge
können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.
- Am 27.02.2025 wird
das Urteil des EuGH in
der Rs C-638/23, Amt der Tiroler
Landesregierung, verkündet. Der EuGH wird Fragen des
VwGH zur Rolle von öffentlichen
Stellen in der Datenverarbeitung
beantworten. Anm: Dem Urteil sind keine Schlussanträge
vorangegangen.
- Am 27.02.2025 werden
die Schlussanträge in der
Rs C-57/23, Policejní
prezidium, veröffentlicht. Gegenstand des Verfahrens
ist die Zulässigkeit der Verarbeitung
von genetischen
Daten und DNA-Profilen für
den Zweck der strafrechtlichen
Verfolgung.
- Am 27.02.2025 werden
die Schlussanträge in der
Rs C-654/23, Inteligo Media,
veröffentlicht. Gegenstand des Verfahrens sind der Versand
eines elektronischen Newsletters und das
Verhängen einer Geldbuße.
- Am 13.03.2025 wird
das Urteil des EuGH in der Rs C-247/23, Deldits,
verkündet. Der EuGH wird darüber absprechen, ob ein
nationales Register ggf
den Geschlechtseintrag einer Person zu
berichtigen hat. Anm: Die Zusammenfassung der
Schlussanträge können Sie im Schönherr
Datenschutzmonitor vom 18.09.2024 nachlesen.
- Am 20.03.2025 werden
die Schlussanträge in der
Rs C-655/23, Quirin Privatbank,
veröffentlicht. Gegenstand des Verfahrens
sind immaterieller Schadenersatz nach
Art 82 DSGVO
und Unterlassungsansprüche.
- Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im Telekommunikationsrecht.